Azure Storage への要求を承認する
Blob、File、Queue、または Table service 内のセキュリティで保護されたリソースに対するすべての要求には、承認が必要です。 承認により、必要な場合にのみ、アクセスを許可されたユーザーまたはアプリケーションだけが、ストレージ アカウント内のリソースにアクセスできるようになります。
次の表は、リソースへのアクセスを承認するために Azure Storage に用意されているオプションをまとめたものです。
| Azure の成果物 | 共有キー (ストレージ アカウント キー) | Shared Access Signature (SAS) | Microsoft Entra ID | オンプレミス Active Directory Domain Services | 匿名のパブリック読み取りアクセス |
|---|---|---|---|---|---|
| Azure BLOB | サポートされています | サポートされています | サポートされています | サポートされていません | サポートされています |
| Azure Files (SMB) | サポートされています | サポートされていません | Microsoft Entra Domain ServicesまたはMicrosoft Entra Kerberos でサポートされます | サポートされている場合、資格情報を Microsoft Entra ID に同期する必要があります | サポートされていません |
| Azure Files (REST) | サポートされています | サポートされています | サポートされています | サポートされていません | サポートされていません |
| Azure キュー | サポートされています | サポートされています | サポートされています | サポートされていません | サポートされていません |
| Azure テーブル | サポートされています | サポートされています | サポートされています | サポートされていません | サポートされていません |
ここでは、各認証オプションについて簡単に説明します。
Microsoft Entra ID:Microsoft Entra は、Microsoft のクラウドベースの ID およびアクセス管理サービスです。 Microsoft Entra ID統合は、Blob、File、Queue、Table の各サービスで使用できます。 Microsoft Entra IDを使用すると、ロールベースのアクセス制御 (RBAC) を使用して、ユーザー、グループ、またはアプリケーションにきめ細かいアクセス権を割り当てることができます。 Azure Storage との統合Microsoft Entra ID詳細については、「Microsoft Entra IDで承認する」を参照してください。
Azure Filesの承認をMicrosoft Entra Domain Servicesします。 Azure Filesでは、Microsoft Entra Domain Servicesを介したサーバー メッセージ ブロック (SMB) 経由の ID ベースの承認がサポートされます。 RBAC を使用して、ストレージ アカウント内の Azure Files リソースへのクライアントのアクセスを細かく制御できます。 ドメイン サービスを使用したAzure Files認証の詳細については、「AZURE FILES ID ベースの承認」を参照してください。
Azure Filesの Active Directory (AD) 承認。 Azure Files では、AD を使用した SMB を介した ID ベースの承認がサポートされています。 AD ドメイン サービスは、オンプレミスのコンピューターまたは Azure VM でホストできます。 Files には、オンプレミスまたは Azure で、ドメインに参加しているコンピューターから AD 資格情報を利用することで SMB アクセスできます。 共有レベルのアクセス制御には RBAC を使用し、ディレクトリとファイル レベルのアクセス許可の適用には NTFS DACL を使用できます。 ドメイン サービスを使用したAzure Files認証の詳細については、「AZURE FILES ID ベースの承認」を参照してください。
共有キー: 共有キーの承認は、アカウント アクセス キーとその他のパラメーターに依存して、 Authorization ヘッダーの要求で渡される暗号化された署名文字列を生成します。 共有キーの承認の詳細については、「共有 キーを使用した承認」を参照してください。
共有アクセス署名: Shared Access Signature (SAS) は、指定されたアクセス許可を持ち、指定された時間間隔でアカウント内の特定のリソースへのアクセスを委任します。 SAS の詳細については、「 共有アクセス署名を使用してアクセスを委任する」を参照してください。
コンテナーと BLOB への匿名アクセス: 必要に応じて、コンテナーまたは BLOB レベルで BLOB リソースをパブリックにすることができます。 任意のユーザーが、匿名読み取りアクセスで、パブリック コンテナーまたは BLOB にアクセスできます。 パブリック コンテナーと BLOB に対する読み取り要求に、承認は必要ありません。 詳細については、「 Azure Blob Storage でコンテナーと BLOB のパブリック読み取りアクセスを有効にする」を参照してください。
ヒント
Microsoft Entra IDを使用して BLOB、ファイル、キュー、テーブルのデータへのアクセスを認証および承認すると、他の承認オプションよりも優れたセキュリティと使いやすさが提供されます。 たとえば、Microsoft Entra IDを使用すると、共有キーの承認と同様に、アカウント アクセス キーをコードに格納する必要がなくなります。 引き続き BLOB およびキュー アプリケーションで共有キー承認を使用できますが、可能な場合はMicrosoft Entra IDに移行することをお勧めします。
同様に、引き続き Shared Access Signature (SAS) を使用してストレージ アカウント内のリソースへのきめ細かいアクセスを許可できますが、Microsoft Entra IDでは、SAS トークンを管理したり、侵害された SAS の取り消しを心配したりすることなく、同様の機能が提供されます。
Azure Storage でのMicrosoft Entra ID統合の詳細については、「Microsoft Entra IDを使用して Azure BLOB とキューへのアクセスを承認する」を参照してください。